學習積累

[@more@]

環境:
客戶端IP:1.2.3.4
閘道器
#eth0 外網 220.101.222.46(此地址為防火牆上填的外網地址)
192.168.123.123(此地址為防火牆對映到閘道器ETH0上的地址)
#eth1 內網 192.168.101.67

內網資料庫
#192.168.101.66:1521

要實現這些功能,只要在iptables列表執行以下語句:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.123.123 --dport 1521 -j DNAT --to 192.168.101.66
iptables -A FORWARD -p tcp -d 192.168.101.66 --dport 1521 -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.101.66 -p tcp --dport 1521 -j SNAT --to 192.168.123.123

在這裡對上面幾條的作用解釋一下:
echo 1 > /proc/sys/net/ipv4/ip_forward
這一句,要使FORWARD能轉發成功,就必須寫.

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.123.123 --dport 1521 -j DNAT --to 192.168.101.66
是把傳送到192.168.123.123的1521資料都轉發到192.168.101.66

iptables -A FORWARD -p tcp -d 192.168.101.66 --dport 1521 -j ACCEPT
要想把資料轉發到101.66,還得允許轉發這個包.

接下來的問題是,資料順利到達了101.66,但資料沒有能正常返回,因為到達101.66的源地址是1.2.3.4,而101.66是沒法直接與1.2.3.4進行通訊的.
所以需要把這條連線的源地址也改一改.
iptables -t nat -A POSTROUTING -d 192.168.101.66 -p tcp --dport 1521 -j SNAT --to 192.168.123.123

這樣,資料就能正常通訊了.

iptables 實現埠對映

相關文章